□ 개요

o 원격 공격자가 VFS 모듈 “vfs_fruit”를 사용하는 Samba에서 임의의 코드를 실행할 수 있는 취약점 발견 (CVE-2021-44142, CVSSv3 9.9)

o 공격자는 영향을 받는 Samba 시스템에서 Heap Read/Write 취약점을 통해 루트 권한으로 메모리 일부에 임의의 코드를 실행 가능

o Red Hat, SUSE Linux, Ubuntu 등 일반적으로 많이 사용하는 Linux 배포판에도 영향을 끼침

□ 취약한 버전
o 4.13.17 이전 Samba 모든 버전
※ VFS 모듈에서 fruit:metadata=netatalk 또는 fruit:resource=file 옵션 모두 기본값이 아닌 다른 설정값으로 되어있다면, 시스템은 취약점의 영향을 받지 않음

□ 대응 방안

o Samba 버전 업데이트 가능한 경우
Samba 버전 4.13.17, 4.14.12 및 4.15.5 릴리스 설치
https://www.samba.org/samba/security/

o Samba 버전 업데이트 불가능한 경우
Samba 설정 파일(smb.conf)의 'vfs objects' 행에서 'fruit'를 제거
※ 취약점 임시 조치를 위해 fruit:metadata 또는 fruit:resource 설정을 변경하면 저장된 모든 정보에 액세스 할 수 없게 되며 정보가 손실된 것 처럼 macOS 클라이언트에 표시됩니다

□ 참고 사이트

[1] https://www.samba.org/samba/security/CVE-2021-44142.html
[2] https://www.samba.org/samba/security/
[3] https://kb.cert.org/vuls/id/119678
[4] https://www.bleepingcomputer.com/news/security/samba-bug-can-let-remote-attackers-execute-code-as-root/